News & Insights

12 Mart 2024 tarihli Resmî Gazete’de yayımlanan “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” ile 6698 sayılı KVKK’nda yapılan değişiklikler

1. GİRİŞ

       7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanmıştır. Yapılan bu değişiklik ile KVKK’da önemli ve uygulamada etkisi büyük ölçüde hissedilecek düzenlemeler getirilmiştir.

       2. KVKK’DA MEYDANA GELEN DEĞİŞİKLİKLER
       2.1 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI (Madde 6)


       Kanun’un 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Değişiklik ile; ilgili kişinin açık rızası olmadan özel nitelikli kişisel verilerin işlenemeyeceği düzenlemesi iptal edilmiştir.

       Yapılan değişiklik ile maddenin 3. fıkrasında özel nitelikli verilerin işlenmesi yasaklanmış ancak bu yasağa oldukça kapsamlı istisnalar getirilmiştir. Değişiklik sonrasında özel nitelikli kişisel veriler sadece aşağıdaki şartlardan birinin varlığı halinde işlenebilecektir:

i) İlgili kişinin açık rızası,
ii) Kanunlarda açıkça öngörülmesi,
iii) Fiili imkânsızlıkla rızasını açıklayamayacak durumda olan veya rızası hukuken geçerli olmayacak kişinin kendisinin/başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
iv) İlgili kişinin özel nitelikli kişisel verisinin alenileştirilmiş olması,
v) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
vi) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
vii) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
viii) Siyasi, felsefi, dini, sendikal amaçlarla kurulan vakıf, dernek ve kâr amacı gütmeyen kuruluş ya da oluşumların, mevzuata ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve 3. kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine veyahut bunlarla temasta olan kişilere yönelik olması.Değişiklik ile işleme şartlarına ek olarak, 6. maddenin sağlık ve cinsel hayata ilişkin özel nitelikli verilerin diğer özel nitelikli verilerden ayrılarak düzenlenmesine ilişkin 3. fıkrası değiştirilerek sağlık ve cinsel hayat ayrımı ortadan kaldırılmış, bu bağlamda özel nitelikli kişisel verilerin işlenmesine ilişkin şartlar da genişletilmiştir.

       2.2 KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI (Madde 9)
       Yeni düzenleme ile Kanun’un 9.maddesi tamamen değiştirilerek ilgili kişilerin açık rızasına binaen yurt dışına veri aktarımı öncelikli hukuka uygunluk sebebi olmaktan çıkartılmış, yurt dışına veri aktarımı sistematiği değiştirilmiştir. Kanun değişikliği ile kişisel verilerin yurt dışına aktarımı için üç alternatif öngörülmüştür. Bu alternatifler aşağıdaki şekildedir:

       2.2.1 Yeterlilik Kararına Dayalı Veri Aktarımı
       Değişiklik ile “yeterlilik kararı” kavramı getirilmiştir. Buna göre Kişisel Verileri Koruma Kurul’u (“Kurul”) en geç dört yılda bir Resmî Gazete’de yeterlilik kararı verdiği (i) ülke, (ii) uluslararası kuruluş veya (iii) sektörü yayınlayacak, böylece veri sorumluları ve veri işleyenler hakkında yeterlilik kararı verilen ülke, kuruluş veya sektörlere veri aktarımı gerçekleştirebileceklerdir.
       Hakkında yeterlilik kararı verilecek ülke, uluslararası kuruluş veya sektörlerin nasıl belirleneceği Kanun’da açık şekilde düzenlenmiştir. Kurul tarafından yeterlilik kararının verilmesinde etkili olacak unsurlar aşağıdaki şekildedir:

i) Karşılıklılık,
ii) Veri aktarımı yapılacak ülkenin mevzuatı ile uluslararası kuruluşun tabi olduğu kurallar,
iii) Veri aktarımı yapılacak ülkenin Türkiye’nin üye olduğu küresel/bölgesel kuruluşlara üyelik hali,
iv) Taraf olunan uluslararası sözleşmeler.
       Bu düzenleme ile kişisel verilerin yurt dışına aktarılması hususunda, GDPR ile paralel şekilde veri sorumlusuna ek olarak veri işleyenlerin de yurt dışına kişisel veri aktarmasına imkân tanınmıştır.

       2.2.2 Uygun Güvencelere Dayalı Aktarım
       Uygun güvencelere dayalı aktarım, yeterlilik kararının bulunmadığı durumlar açısından öngörülen bir alternatif olarak düzenlenmiştir. Buna göre, yeterlilik kararının bulunmadığı hallerde uygun güvencelerin mevcut olması halinde kişisel veriler yurt dışına aktarılabilecektir. Uygun güvencelere dayalı aktarım prosedürünü işletebilmek için üç ön koşulun varlığı gerekmektedir:

i) Kanun’un 5. ve 6. maddelerinde belirtilen şartların (Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartlarının) varlığı,
ii) İlgili kişinin haklarının aktarımın yapılacağı ülkede de kullanılabilmesinin mümkün olması,
iii) Aktarım yapılacak ülkede kişisel verilerin korunmasına ilişkin etkili kanun yollarının varlığı.

Üç ön koşulun sağlandığı durumda aşağıda sayılan uygun güvencelerden birinin veri aktaran ve veri aktarılan taraflarca sağlanması sonucu yurtdışına veri aktarımı mümkün kılınmıştır:

i) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya bu nitelikteki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
ii) Ortak ekonomik faaliyetteki teşebbüs grubu bünyesindeki şirketlerin kişisel verilerin korunması hükümleri içeren ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı,
iii) Kurul tarafından ilan edilen veri kategorileri, veri aktarım amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı,
iv) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
       Kurul tarafından içeriği düzenlenerek ilan edilen standart sözleşmenin uygun güvence kapsamında sayılması için veri sorumlusu veya veri işleyen tarafından sözleşmenin imzalanmasını takiben beş iş günü içerisinde Kurul’a bildirimde bulunulması gerekmektedir. Yine değişiklik ile bildirim yükümlülüğün yerine getirilmemesi durumunda idari para cezası yaptırımı düzenlenmiştir.

       2.2.3 Arızi Durumlara Dayalı Aktarım
       Yeni düzenleme ile yeterlilik kararının olmadığı ve uygun güvencelerin de sağlanamadığı durumlarda aşağıda sıralanan istisnai durumlardan birinin varlığı halinde ve geçici olmak kaydıyla yurt dışına kişisel veri aktarımı mümkün kılınmıştır:

i) İlgili kişinin riskler konusunda bilgilendirilmesi şartıyla aktarıma açık rıza gösterilmesi,
ii) İlgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
iii) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
iv) Aktarımın üstün bir kamu yararı için zorunlu olması,
v) Bir hakkın tesisi, kullanılması, korunması için kişisel verilerin aktarılmasının zorunlu olması,
vi) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızası hukuken geçerli olmayacak ilgili kişinin kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
vii) Kamuya veya meşru menfaati bulunan kişilere açık olan sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talebinin söz konusu olması

Son olarak belirtmek gerekir ki değişiklik ile düzenlenen 9.maddenin uygulanmasına ilişkin usul ve esaslar çıkarılacak olan yönetmelik ile belirlenecek olup söz konusu yönetmeliğin yayımlanması ile kişisel verilerin yurt dışına aktarımı hususuna yönelik prosedürlerin daha da aydınlatılması beklenmektedir. Ayrıca bu maddenin eski halinde yer alan ve ilgili kişi rızası olmadan yurtdışı veri aktarımını yasaklayan birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1 Eylül 2024 tarihine kadar uygulamaya devam edecektir.

       2.3 KABAHATLER (Madde 18)
       Değişiklik ile Kanun’un kabahatleri düzenleyen 18. maddesinde de düzenleme yapılmıştır. Bu düzenleme ile getirilen değişiklikler aşağıdadır:

i) Standart sözleşmenin imzalanmasını takiben beş iş günü içerisinde Kişisel Verileri Koruma Kurumu’na bildirilmemesi halinde Kurul tarafından veri sorumlusu veya veri işleyenler aleyhine 50.000 Türk lirasından 1.000.000 Türk lirasına idari para cezası verilecektir.
ii) Kurul’ca verilecek idari para cezalarına karşı kanun yolu idare mahkemelerinde olarak belirlenmiştir.
Düzenleme öncesinde Kurul’un kararlarına karşı ikili bir denetim uygulaması mevcuttu. Kurul’un idari para cezası kararlarına karşı itiraz yolu sulh ceza mahkemeleri (adli yargı), idari para cezası kararları dışında kalan kararlar bakımından (Talimatlandırma gibi) idare mahkemeleri iken yeni düzenleme ile bu husus değiştirilmiş ve Kurul’un kararlarına karşı tek itiraz merci olarak idare mahkemeleri belirlenmiştir.

       3. SONUÇ
       12 Mart 2024 tarihli Resmi Gazete’de yayımlanan “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” ile KVKK’da radikal değişiklikler yapıldığını söyleyebiliriz. Bu değişiklik ile Kanun’un GDPR ile uyumlu hale getirilmesi ve kanunun uygulanmasındaki sorunların önüne geçilmesi amaçlanmıştır.
       Yapılan düzenlemede yukarıda detaylıca açıklandığı üzere altı çizilmesi gereken önemli iki husus mevcuttur. Bunlardan ilki özel nitelikli kişisel verilerin işlenme şartlarının genişletilmesi iken ikincisi kişisel verilerin yurt dışına aktarılmasına ilişkin yeni prosedürlerin getirilmesidir.
       Kanun değişikliklerinin uygulamaya dönük en büyük etkisinin, açık rıza işleme şartına dayalı olarak özel nitelikli kişisel veri işleyen ve yurt dışına veri aktarımı yapan veri sorumlularının kişisel veri işleme prosedürlerini tekrar gözden geçirme zorunluluğu olacağı kanaatindeyiz.
       Değişikliklerin yürürlük tarihi 9. Maddenin ilk fıkrasına getirilen istisna hariç olmak üzere 1 Haziran 2024 olarak belirlenmiştir.

This post is also available in: English


Av. Nazlı TozluAv. Çağdaş AltınovaAv. Ece Akbaba
Published :
Categories: Data Protection